다음을 통해 공유


Microsoft가 맬웨어 및 잠재적으로 원치 않는 애플리케이션을 식별하는 방법

Microsoft는 사용자가 안전하고 장치를 제어할 수 있도록 노력하여 유쾌하고 생산적인 Windows 환경을 제공하는 것을 목표로 합니다. Microsoft는 소프트웨어 및 온라인 콘텐츠를 식별하고 분석하여 잠재적 위협으로부터 보호합니다. 소프트웨어를 다운로드, 설치 및 실행하는 경우 다운로드한 프로그램의 평판을 검사 알려진 위협으로부터 보호해야 합니다. Microsoft에 알려지지 않은 소프트웨어에 대해서도 경고가 표시됩니다.

분석을 위해 알 수 없거나 의심스러운 소프트웨어를 제출하여 Microsoft를 지원할 수 있습니다. 제출은 시스템에서 알 수 없거나 의심스러운 소프트웨어를 검사하여 평판을 확립하는 데 도움이 됩니다. 분석을 위해 파일 제출에 대해 자세히 알아보기

다음 섹션에서는 애플리케이션에 사용하는 분류 및 해당 분류로 이어지는 동작 유형에 대한 개요를 제공합니다.

참고

새로운 형태의 맬웨어와 원치 않는 애플리케이션이 빠르게 개발되고 배포되고 있습니다. 다음 목록은 포괄적이지 않을 수 있으며 Microsoft는 사전 통지 또는 공지 없이 이를 조정, 확장 및 업데이트할 권리가 있습니다.

알 수 없음 – 인식할 수 없는 소프트웨어

바이러스 백신 또는 보호 기술이 완벽하지 않습니다. 악성 사이트 및 애플리케이션을 식별하고 차단하거나 새로 릴리스된 프로그램 및 인증서를 신뢰하는 데 시간이 걸립니다. 인터넷 및 소프트웨어에서 거의 20억 개의 웹 사이트가 지속적으로 업데이트되고 출시되므로 모든 단일 사이트 및 프로그램에 대한 정보를 가질 수 없습니다.

알 수 없는/드물게 다운로드한 경고를 감지되지 않은 맬웨어에 대한 조기 경고 시스템으로 생각하세요. 일반적으로 새 맬웨어가 릴리스된 시간부터 식별될 때까지 지연이 있습니다. 모든 일반적이지 않은 프로그램이 악의적인 것은 아니지만 알 수 없는 범주의 위험은 일반 사용자에게 훨씬 높습니다. 알 수 없는 소프트웨어에 대한 경고는 차단되지 않습니다. 사용자는 원하는 경우 애플리케이션을 정상적으로 다운로드하고 실행하도록 선택할 수 있습니다.

충분한 데이터가 수집되면 Microsoft의 보안 솔루션이 결정을 내릴 수 있습니다. 위협을 찾을 수 없거나 애플리케이션 또는 소프트웨어가 맬웨어 또는 사용자 동의 없이 설치된 소프트웨어로 분류됩니다.

맬웨어

맬웨어는 Microsoft가 악성 소프트웨어, 원치 않는 소프트웨어 또는 변조 소프트웨어로 보다 세부적으로 분류하는 소프트웨어와 같은 애플리케이션 및 기타 코드의 가장 중요한 이름입니다.

악성 소프트웨어

악성 소프트웨어는 사용자 보안을 손상시키는 애플리케이션 또는 코드입니다. 악성 소프트웨어는 개인 정보를 도용하거나, 몸값을 지불할 때까지 장치를 잠그거나, 디바이스를 사용하여 스팸을 보내거나, 다른 악성 소프트웨어를 다운로드할 수 있습니다. 일반적으로 악성 소프트웨어는 사용자를 속이거나, 속이거나, 사취하여 취약한 상태에 배치하려고 합니다.

Microsoft는 대부분의 악성 소프트웨어를 다음 범주 중 하나로 분류합니다.

  • 백도어: 악의적인 해커에게 디바이스에 대한 원격 액세스 및 제어를 제공하는 맬웨어 유형입니다.

  • 명령 및 제어: 디바이스를 감염시키고 해커의 명령 및 제어 서버와 통신하여 지침을 수신하는 맬웨어 유형입니다. 통신이 설정되면 해커는 데이터를 도용하고, 디바이스를 종료 및 다시 부팅하고, 웹 서비스를 방해할 수 있는 명령을 보낼 수 있습니다.

  • 다운로더: 디바이스에 다른 맬웨어를 다운로드하는 맬웨어 유형입니다. 파일을 다운로드하려면 인터넷에 연결해야 합니다.

  • 점 적기: 디바이스에 다른 맬웨어 파일을 설치하는 맬웨어 유형입니다. 다운로더와 달리 삭제기는 악성 파일을 삭제하기 위해 인터넷에 연결할 필요가 없습니다. 삭제된 파일은 일반적으로 삭제기 자체에 포함됩니다.

  • 공훈: 소프트웨어 취약성을 사용하여 디바이스에 액세스하고 맬웨어 설치와 같은 다른 작업을 수행하는 코드 조각입니다.

  • Hacktool: 디바이스에 무단으로 액세스하는 데 사용할 수 있는 도구 유형입니다.

  • 매크로 바이러스: Microsoft Word 또는 Excel 문서와 같이 감염된 문서를 통해 확산되는 맬웨어 유형입니다. 바이러스는 감염된 문서를 열 때 실행됩니다.

  • 난독 분석기: 코드와 용도를 숨기는 맬웨어 유형으로, 보안 소프트웨어가 검색하거나 제거하기가 더 어려워집니다.

  • 암호 도용자: 사용자 이름 및 암호와 같은 개인 정보를 수집하는 맬웨어 유형입니다. 키 로거와 함께 작동하는 경우가 많으며, 이 로거는 사용자가 누르는 키와 방문하는 웹 사이트에 대한 정보를 수집하고 보냅니다.

  • 랜섬웨어: 파일을 암호화하거나 디바이스를 사용할 수 없는 다른 수정을 하는 맬웨어 유형입니다. 그런 다음에는 장치를 다시 사용하기 전에 돈을 지불하거나 다른 작업을 수행해야 한다는 내용의 랜섬 메모가 표시됩니다. 랜섬웨어에 대한 자세한 내용을 참조하세요.

  • 불량 보안 소프트웨어: 보안 소프트웨어인 척하지만 보호를 제공하지 않는 맬웨어입니다. 이 유형의 맬웨어는 일반적으로 디바이스에 존재하지 않는 위협에 대한 경고를 표시합니다. 또한 서비스에 대한 비용을 지불하도록 설득하려고 합니다.

  • 트로이 목마: 무해한 것처럼 보이려고 시도하는 맬웨어의 유형입니다. 바이러스 또는 웜과 달리 트로이 목마는 단독으로 확산되지 않습니다. 대신, 그것은 다운로드 하 고 설치에 사용자를 속이는 합법적인 보고 하려고. 트로이 목마는 일단 설치되면 개인 정보 도용, 다른 맬웨어 다운로드 또는 공격자에게 장치 액세스 권한 부여와 같은 다양한 악의적인 활동을 수행합니다.

  • 트로이 목마 클릭커: 웹 사이트 또는 애플리케이션에서 단추 또는 유사한 컨트롤을 자동으로 클릭하는 트로이 목마 유형입니다. 공격자는 이 트로이 목마를 사용하여 온라인 광고를 클릭할 수 있습니다. 이러한 클릭은 온라인 설문 조사 또는 기타 추적 시스템을 왜곡할 수 있으며 디바이스에 애플리케이션을 설치할 수도 있습니다.

  • 벌레: 다른 디바이스로 확산되는 맬웨어의 유형입니다. 웜은 이메일, 인스턴트 메시징, 파일 공유 플랫폼, 소셜 네트워크, 네트워크 공유 및 이동식 드라이브를 통해 퍼질 수 있습니다. 정교한 웜은 소프트웨어 취약성을 이용하여 전파합니다.

사용자 동의 없이 설치된 소프트웨어

Microsoft는 Windows 환경을 제어해야 한다고 믿습니다. Windows에서 실행되는 소프트웨어는 정보에 입각한 선택 사항 및 액세스 가능한 컨트롤을 통해 디바이스를 제어할 수 있도록 해야 합니다. Microsoft는 사용자가 계속 제어할 수 있도록 하는 소프트웨어 동작을 식별합니다. 이러한 동작을 완전히 입증하지 않는 소프트웨어를 "원치 않는 소프트웨어"로 분류합니다.

선택의 부족

소프트웨어가 수행하는 작업과 활성 상태 여부를 포함하여 디바이스에서 발생하는 일에 대해 알림을 받아야 합니다.

선택의 부족을 나타내는 소프트웨어는 다음을 수행할 수 있습니다.

  • 소프트웨어의 동작과 그 목적 및 의도에 대한 눈에 띄는 알림을 제공하지 못합니다.

  • 소프트웨어가 활성 상태인지 명확하게 나타내지 못합니다. 그것은 또한 숨기거나 그것의 존재를 위장 하려고 할 수 있습니다.

  • 사용 권한, 상호 작용 또는 동의 없이 소프트웨어를 설치, 다시 설치 또는 제거합니다.

  • 기본 소프트웨어와의 관계에 대한 명확한 표시 없이 다른 소프트웨어를 설치합니다.

  • 브라우저 또는 운영 체제에서 사용자 동의 대화 상자를 우회합니다.

  • Microsoft의 소프트웨어라고 거짓으로 주장합니다.

소프트웨어는 디바이스에 대한 의사 결정을 내리도록 오해하거나 강요해서는 안 됩니다. 선택 항목을 제한하는 동작으로 간주됩니다. 이전 목록 외에도 선택의 부족을 나타내는 소프트웨어는 다음과 같은 작업을 수행할 수 있습니다.

  • 디바이스의 상태에 대한 과장된 클레임을 표시합니다.

  • 디바이스의 파일, 레지스트리 항목 또는 기타 항목에 대해 오해의 소지가 있거나 부정확한 클레임을 만듭니다.

  • 디바이스의 상태에 대해 놀라운 방식으로 클레임을 표시하고 의도된 문제를 해결하는 대가로 지불 또는 특정 작업이 필요합니다.

활동 또는 데이터를 저장하거나 전송하는 소프트웨어는 다음을 수행해야 합니다.

  • 알림을 제공하고 동의를 얻습니다. 소프트웨어에는 데이터 저장 또는 전송과 관련된 활동을 숨기도록 구성하는 옵션이 포함되어서는 안 됩니다.

제어 부족

디바이스에서 소프트웨어를 제어할 수 있어야 합니다. 소프트웨어에 대한 권한 부여를 시작, 중지 또는 취소할 수 있어야 합니다.

제어가 부족한 소프트웨어는 다음을 수행할 수 있습니다.

  • 브라우저 기능 또는 설정을 보거나 수정하지 못하도록 방지하거나 제한합니다.

  • 권한 부여 없이 브라우저 창을 엽니다.

  • 알림을 제공하고 동의를 얻지 않고 웹 트래픽을 리디렉션합니다.

  • 동의 없이 웹 페이지 콘텐츠를 수정하거나 조작합니다.

검색 환경을 변경하는 소프트웨어는 설치, 실행, 비활성화 또는 제거에 브라우저의 지원되는 확장성 모델만 사용해야 합니다. 지원되는 확장성 모델을 제공하지 않는 브라우저는 확장할 수 없는 것으로 간주되며 수정해서는 안 됩니다.

설치 및 제거

소프트웨어에 지정된 권한 부여를 시작, 중지 또는 취소할 수 있어야 합니다. 소프트웨어는 설치하기 전에 동의를 얻어야 하며, 설치, 제거 또는 사용하지 않도록 설정할 수 있는 명확하고 간단한 방법을 제공해야 합니다.

설치 환경이 좋지 않은 소프트웨어는 Microsoft에서 분류한 다른 "원치 않는 소프트웨어"를 번들하거나 다운로드할 수 있습니다.

잘못된 제거 환경을 제공하는 소프트웨어는 다음을 수행할 수 있습니다.

  • 제거하려고 할 때 혼란스럽거나 오해의 소지가 있는 프롬프트 또는 팝업을 표시합니다.

  • 프로그램 추가/제거와 같은 표준 설치/제거 기능을 사용하지 못합니다.

광고 및 광고

소프트웨어 자체 외부의 제품 또는 서비스를 홍보하는 소프트웨어는 컴퓨팅 환경을 방해할 수 있습니다. 광고를 제공하는 소프트웨어를 설치할 때 명확한 선택과 제어가 있어야 합니다.

소프트웨어에서 제공하는 광고는 다음을 수행해야 합니다.

  • 사용자가 광고를 닫을 수 있는 명백한 방법을 포함합니다. 광고를 닫는 행위는 다른 광고를 열어서는 안됩니다.

  • 광고를 표시한 소프트웨어의 이름을 포함합니다.

이러한 광고를 제공하는 소프트웨어는 다음을 수행해야 합니다.

  • 표시되는 광고에 표시된 것과 동일한 이름을 사용하여 소프트웨어에 대한 표준 제거 방법을 제공합니다.

표시되는 광고는 다음을 수행해야 합니다.

  • 웹 사이트 콘텐츠와 구별할 수 있습니다.

  • 오해하거나, 속이거나, 혼동하지 않습니다.

  • 악성 코드가 포함되어 있지 않습니다.

  • 파일 다운로드를 호출하지 않습니다.

소비자 의견

Microsoft는 분석을 위해 소프트웨어를 제출할 수 있는 전 세계 분석가 및 인텔리전스 시스템 네트워크를 유지 관리합니다. 참여하면 Microsoft가 새 맬웨어를 신속하게 식별할 수 있습니다. 분석 후 Microsoft는 설명된 조건을 충족하는 소프트웨어용 보안 인텔리전스를 만듭니다. 이 보안 인텔리전스는 소프트웨어를 맬웨어로 식별하고 Microsoft Defender 바이러스 백신 및 기타 Microsoft 맬웨어 방지 솔루션을 통해 모든 사용자가 사용할 수 있습니다.

소프트웨어 변조

변조 소프트웨어는 디바이스의 전체 보안 수준을 직간접적으로 낮추는 광범위한 도구와 위협을 포함합니다. 일반적인 변조 작업의 예는 다음과 같습니다.

  • 보안 소프트웨어 비활성화 또는 제거: 바이러스 백신, EDR 또는 네트워크 보호 시스템과 같은 보안 소프트웨어를 사용하지 않도록 설정하거나 제거하여 방어 메커니즘을 회피하려는 도구 및 위협입니다. 이러한 작업은 시스템을 추가 공격에 취약하게 합니다.

  • 운영 체제 기능 및 설정 남용: 운영 체제 내의 기능 및 설정을 악용하여 보안을 손상시키는 도구 및 위협. 예를 들면 다음과 같습니다.

    • 방화벽 남용: 방화벽 구성 요소를 사용하여 보안 소프트웨어를 간접적으로 변조하거나 합법적인 네트워크 연결을 차단하여 무단 액세스 또는 데이터 반출을 가능하게 하는 공격자가 있습니다.

    • DNS 조작: 트래픽을 리디렉션하거나 보안 업데이트를 차단하기 위해 DNS 설정을 변조하여 시스템이 악의적인 활동에 노출되도록 합니다.

    • 안전 모드 악용: 합법적인 안전 모드 설정을 활용하여 보안 솔루션을 우회할 수 있는 상태로 디바이스를 배치하여 무단 액세스 또는 맬웨어 실행을 허용합니다.

  • 시스템 구성 요소 조작: 커널 드라이버 또는 시스템 서비스와 같은 중요한 시스템 구성 요소를 대상으로 하는 도구 및 위협으로 디바이스의 전반적인 보안 및 안정성을 손상합니다.

  • 권한 상승: 시스템 리소스를 제어하고 잠재적으로 보안 설정을 조작하기 위해 사용자 권한을 높이기 위한 기술입니다.

  • 보안 업데이트 방해: 보안 업데이트를 차단하거나 조작하려고 시도하여 시스템이 알려진 취약성에 취약합니다.

  • 중요한 서비스 중단: 필수 시스템 서비스 또는 프로세스를 방해하여 시스템 불안정을 유발하고 다른 공격의 문을 여는 작업입니다.

  • 무단 레지스트리 변경: 디바이스의 보안 태세에 영향을 주는 Windows 레지스트리 또는 시스템 설정을 수정합니다.

  • 부팅 프로세스 변조: 부팅 프로세스를 조작하려는 노력으로 인해 시작 중에 악성 코드가 로드될 수 있습니다.

PUA(사용자 동의 없이 설치된 애플리케이션)

PUA 보호는 사용자 생산성을 보호하고 즐거운 Windows 환경을 보장하는 것을 목표로 합니다. 이 보호는 생산성, 성능 및 쾌적한 Windows 환경을 제공하는 데 도움이 됩니다. Chromium 기반 Microsoft Edge 및 Microsoft Defender 바이러스 백신에서 PUA 보호를 사용하도록 설정하는 방법에 대한 지침은 잠재적으로 원치 않는 애플리케이션 검색 및 차단을 참조하세요.

PUA는 맬웨어로 간주되지 않습니다.

Microsoft는 특정 범주 및 범주 정의를 사용하여 소프트웨어를 PUA로 분류합니다.

  • 광고 소프트웨어: 광고 또는 프로모션을 표시하거나 그 자체가 아닌 소프트웨어의 다른 제품 또는 서비스에 대한 설문 조사를 완료하라는 메시지를 표시하는 소프트웨어입니다. 여기에는 웹 페이지에 광고를 삽입하는 소프트웨어가 포함됩니다.

  • 토런트 소프트웨어(엔터프라이즈 전용): 피어 투 피어 파일 공유 기술과 함께 특별히 사용되는 토런트 또는 기타 파일을 만들거나 다운로드하는 데 사용되는 소프트웨어입니다.

  • 암호화 소프트웨어(엔터프라이즈 전용): 디바이스 리소스를 사용하여 암호 화폐를 채굴하는 소프트웨어입니다.

  • 번들 소프트웨어: 동일한 엔터티에서 개발되지 않았거나 소프트웨어를 실행하는 데 필요하지 않은 다른 소프트웨어를 설치하도록 제공하는 소프트웨어입니다. 또한 이 문서에 설명된 기준에 따라 PUA로 자격이 있는 다른 소프트웨어를 설치하도록 제공하는 소프트웨어입니다.

  • 마케팅 소프트웨어: 사용자의 활동을 모니터링하고 마케팅 조사를 위해 자체 이외의 애플리케이션 또는 서비스로 전송하는 소프트웨어입니다.

  • 회피 소프트웨어: 보안 제품이 있는 상태에서 다르게 작동하는 소프트웨어를 포함하여 보안 제품에 의한 탐지를 적극적으로 회피하려는 소프트웨어입니다.

  • 업계 평판이 좋지 않습니다. 신뢰할 수 있는 보안 공급자가 보안 제품으로 검색하는 소프트웨어입니다. 보안 업계는 고객을 보호하고 환경을 개선하기 위해 최선을 다하고 있습니다. Microsoft와 보안 업계의 다른 조직은 사용자에게 최상의 보호를 제공하기 위해 분석한 파일에 대한 지식을 지속적으로 교환합니다.

취약한 소프트웨어

취약한 소프트웨어는 공격자가 다양한 악의적이고 잠재적으로 파괴적인 작업을 수행하기 위해 악용할 수 있는 보안 결함 또는 약점이 있는 애플리케이션 또는 코드입니다. 이러한 취약성은 의도하지 않은 코딩 오류 또는 디자인 결함에서 비롯될 수 있으며, 악용되면 무단 액세스, 권한 상승, 변조 등과 같은 유해한 활동으로 이어질 수 있습니다.

취약한 운전자

커널에서 실행되는 코드에 적용되는 엄격한 요구 사항 및 검토에도 불구하고 디바이스 드라이버는 다양한 유형의 취약성 및 버그에 취약합니다. 예를 들어 메모리 손상 및 공격자가 악용하여 더 중요한 악의적이고 파괴적인 작업(일반적으로 사용자 모드에서 제한되는 작업)을 실행할 수 있는 임의의 읽기 및 쓰기 버그가 있습니다. 디바이스에서 중요한 프로세스를 종료하는 것은 이러한 악의적인 작업의 예입니다.